VMware AppDefense

VMware AppDefense용 JSA DSM은 VMware AppDefense에서 이벤트를 수집합니다

VMware AppDefense를 JSA와 통합하려면 다음 단계를 완료하십시오.

자동 업데이트가 활성화되지 않은 경우, JSA 콘솔에 다음 RPM의 최신 버전을 다운로드하여 설치합니다.
- 프로토콜 공통 RPM
- VMware AppDefense API 프로토콜 RPM
- DSM컨트롤 RPM
- VMware AppDefense DSM RPM
JSA에 이벤트를 보내도록 VMware AppDefense를 구성합니다.
JSA 콘솔에서 VMware AppDefense API를 사용하는 VMware AppDefense 로그 소스를 추가합니다.

VMware AppDefense DSM 사양

다음 표에서는 VMware AppDefense DSM의 사양에 대해 설명합니다.

표 1: VMware AppDefense DSM 사양
사양	값
생산자	VM웨어
DSM 이름	VMware AppDefense
RPM 파일 이름	DSM-VMware AppDefense.noarch.rpm`JSA-version-Build_number`
지원되는 버전	버전 1.0
프로토콜	VMware AppDefense API
이벤트 형식	JSON (영문)
기록된 이벤트 유형	모두
자동으로 검색되나요?	아니요
ID를 포함합니까?	아니요
사용자 지정 속성을 포함합니까?	아니요
추가 정보	(https://cloud.vmware.com/ 앱디펜스)

VMware AppDefense용 JSA DSM은 VMware AppDefense 시스템에서 이벤트를 수집합니다.

JSA와 통신하도록 VMware AppDefense 구성

VMware AppDefense 시스템에서 JSA 로 이벤트를 전송하려면 VMware AppDefense 시스템에서 새 API 키를 생성해야 합니다.

JSA에서 로그 소스를 구성하는 데 필요한 끝점 URL 및 API 키를 생성할 수 있도록 VMware AppDefense 사용자 인터페이스의 통합 설정에 액세스할 수 있는지 확인합니다. 다음 절차를 완료하려면 VMware AppDefense 사용자 인터페이스에 대한 올바른 사용자 권한이 있어야 합니다.

VMware AppDefense 사용자 인터페이스에 로그인합니다.
탐색 메뉴에서 사용자 이름 오른쪽에 있는 아이콘을 클릭한 다음, 통합을 선택합니다.
새 API 키 프로비저닝을 클릭합니다.
Integration Name(통합 이름) 필드에 통합의 이름을 입력합니다.
통합 유형 목록에서 통합을 선택합니다.
PROVISION을 클릭하고 열리는 창의 메시지에서 다음 정보를 기록하고 저장합니다. JSA에서 로그 소스를 구성할 때 이 정보가 필요합니다.
- 끝점 URL
- API 키 - JSA에서 로그 소스를 구성할 때 인증 토큰 매개 변수 값입니다.
메모:
확인을 클릭하거나 창을 닫으면 메시지의 정보를 복구할 수 없습니다.

VMware AppDefense에 대한 VMware AppDefense API 로그 소스 매개 변수

JSA가 로그 소스를 자동으로 감지하지 않으면 VMware AppDefense API 프로토콜을 사용하여 JSA 콘솔에 VMware AppDefense 로그 소스를 추가합니다.

VMware AppDefense API 프로토콜을 사용하는 경우 사용해야 하는 특정 매개 변수가 있습니다.

다음 표에서는 VMware AppDefense에서 VMware AppDefense API 이벤트를 수집하는 데 특정 값이 필요한 매개 변수에 대해 설명합니다.

표 2: VMware AppDefense DSM에 대한 VMware AppDefense API 프로토콜 로그 소스 매개 변수
사양	값
로그 소스 유형	VMware AppDefense
프로토콜 구성	VMware AppDefense API
로그 소스 식별자	로그 소스의 IP 주소 또는 호스트 이름을 VMware AppDefense 디바이스의 이벤트에 대한 식별자로 입력합니다.
엔드포인트 URL	VMware AppDefense에 액세스하기 위한 끝점 URL입니다. 개정 예: https://server_name.vmwaredrx.com/partnerapi/v1/orgs/<organization ID>
인증 토큰	AppDefense 콘솔에서 생성되고 모든 API 트랜잭션에 사용해야 하는 단일 인증 토큰입니다.
프록시 사용	JSA가 프록시를 사용하여 VMware AppDefense API에 액세스하는 경우 프록시 사용을 사용하도록 설정합니다. 프록시에 인증이 필요한 경우 Hostname(호스트 이름), Proxy Port(프록시 포트), Proxy Username(프록시 사용자 이름) 및 Proxy(프록시 ) 필드를 구성합니다. 프록시에 인증이 필요하지 않은 경우 Hostname(호스트 이름 ) 및 Proxy Port(프록시 포트 ) 필드를 구성합니다.
서버 인증서 자동 취득	드롭다운 목록에서 Yes(예 )를 선택하면 JSA 가 자동으로 인증서를 다운로드하고 대상 서버를 신뢰하기 시작합니다. 아니오 를 선택하면, JSA 는 서버 인증서 검색을 시도하지 않습니다.
재발	Start Time(시작 시간)에서 시작하여 원격 디렉터리를 검색할 빈도를 입력합니다. 이 값은 시(H), 분(M) 또는 일(D)로 입력합니다. 예를 들어 디렉터리를 2시간마다 스캔하려면 2H입니다. 기본값은 5M입니다.
EPS 스로틀	초당 최대 이벤트 수입니다. 기본값은 5000입니다.

VMware AppDefense 샘플 이벤트 메시지

표 3: VMware AppDefense에서 지원하는 VMware AppDefense 샘플 메시지.
행사명	하위 수준 범주	샘플 로그 메시지
인바운드 연결 규칙 위반	방화벽 거부	{"id":1111111,"createdAt":1512009263.471000000,"remed iation": {"id":1111111},"severity":"CRITICAL","lastReceivedAt" :1516170726.957000000,"count":2,"status":"UNRESOLVED" ,"violationDetails": {"processHashSHA256":"1000000000000000000000000000000 000000000000000000000000000000000","processHash":"100 00000000000000000000000000000","cli":"<cli>","localPo rt":"<24","processPath":"","alert":"INBOUND_CONNECTIO N_RULES_VIOLATION","localAddress":"192.0.2.0","ipProt ocol":"tcp","preEstablishedConnection":"FALSE"},"viol atingVirtualMachine": {"id":1111111,"vmToolsStatus":"TOOLS_NOT_RUNNING","vc enterUuid":"11111111-1111-1111-1111-111111111111","vm Uuid":"11111111-1111-1111-1111-111111111111","ipAddre ss":"192.0.2.0”,"osType":"WINDOWS","vmManageabilitySt atus":"HOST_MODULE_ENABLED_AND_GUEST_MODULE_MISSING", "guestAgentVersion":"1.0.1.0","macAddress":"<MacAddre ss>","guestId":"windows8","healthStatus":"CRITICAL"," service": {"id":00000},"vmId":"1","guestAgentStatus":"Disconnec ted","guestName":"Microsoft Windows","guestStatus":"POWERED_OFF","name":"<name>", "hostName":"<Hostname>"},"violatingProcess": {"processReputationProfile":null,"fullPathName":"Syst em","<System>":"<System>","process256Hash":"100000000 00000000000000000000000000000000000000000000000000000 00","processMd5Hash":"1000000000000000000000000000000 0"},"subRuleViolated":null,"ruleViolated":"INBOUND_CO NNECTION"}
아웃바운드 연결 규칙 위반	방화벽 거부	{"id":10101001,"createdAt":1512009263.495000000,"reme diation": {"id":1551519},"severity":"CRITICAL","lastReceivedAt" :1516224258.818000000,"count":00001,"status":"UNRESOL VED","violationDetails": {"processHashSHA256":"0000000000000000000000000000000 000000000000000000000000000000","processHash":"000000 0000000000000000000000000","cli":"C:\ \<path>,"alert":"OUTBOUND_CONNECTION_RULES_VIOLATION" ,"localAddress":"192.0.2.0","remotePort":"24","ipProt ocol":"udp","preEstablishedConnection":"FALSE","remot eAddress":"0000::0:0"},"violatingVirtualMachine": {"id":101010,"vmToolsStatus":"TOOLS_NOT_RUNNING","vce nterUuid":"11111111-1111-1111-1111-111111111111","vmU uid":"11111111-1111-1111-1111-111111111111","ipAddres s":"192.0.2.0","osType":"WINDOWS","vmManageabilitySta tus":"HOST_MODULE_ENABLED_AND_GUEST_MODULE_MISSING"," guestAgentVersion":"1.0.1.0","macAddress":"<MacAddres s>","guestId":"windows8","healthStatus":"CRITICAL","s ervice": {"id":28486},"vmId":"1","guestAgentStatus":"Disconnec ted","guestName":"Microsoft Windows","guestStatus":"POWERED_OFF","name":"<name>", "hostName":"<host>"},"violatingProcess": {"processReputationProfile":{"processFileInfo": {"md5":"000000000000000000000000000000","sha256":"000 00000000000000000000000000000000000000000000000000000 000","container":false,"executable":true,"ssdeep":"10 0:THGFJFJFHJY7y86gHK7GHk7ghjgkghjk","fileSizeBytes":1 ,"peFormat":true,"firstSeenName":"<fileName>","sha1": "000000000000000000000000000000000000","crc32":null}, "peHeaderMetadata":{"companyName":"Microsoft Corporation","productName":"Microsoft Windows,"version":null,"originalName":"<host>","descr iption":"<description>","fileVersion":"192.0.2.0,"cod ePage":null,"productVersion":"6.3.9600.17415","langua ge":"English (U.S.)"},"certificate": {"commonName":"Windows","certificateexinfo": {"thumbprint":"00000000000000000000000000000000000000 0000000","issuerThumbprint":"000000000000000000000000 000000000","serialNumber":null,"validToDate":14376041 40.000000000,"validFromDate":1398205740.000000000,"pu blisher":null,"name":null}},"trust":10,"threat":0},"f ullPathName":"C:\ \<path>","process256Hash":"00000000000000000000000000 0000000000000000000000000000000000","processMd5Hash": "000000000000000000000000000000000"},"subRuleViolated ":null,"ruleViolated":"OUTBOUND_CONNECTION"}

표 3: VMware AppDefense에서 지원하는 VMware AppDefense 샘플 메시지.

행사명

하위 수준 범주

샘플 로그 메시지

인바운드 연결 규칙 위반

방화벽 거부

{"id":1111111,"createdAt":1512009263.471000000,"remed
iation":
{"id":1111111},"severity":"CRITICAL","lastReceivedAt"
:1516170726.957000000,"count":2,"status":"UNRESOLVED"
,"violationDetails":
{"processHashSHA256":"1000000000000000000000000000000
000000000000000000000000000000000","processHash":"100
00000000000000000000000000000","cli":"<cli>","localPo
rt":"<24","processPath":"","alert":"INBOUND_CONNECTIO
N_RULES_VIOLATION","localAddress":"192.0.2.0","ipProt
ocol":"tcp","preEstablishedConnection":"FALSE"},"viol
atingVirtualMachine":
{"id":1111111,"vmToolsStatus":"TOOLS_NOT_RUNNING","vc
enterUuid":"11111111-1111-1111-1111-111111111111","vm
Uuid":"11111111-1111-1111-1111-111111111111","ipAddre
ss":"192.0.2.0”,"osType":"WINDOWS","vmManageabilitySt
atus":"HOST_MODULE_ENABLED_AND_GUEST_MODULE_MISSING",
"guestAgentVersion":"1.0.1.0","macAddress":"<MacAddre
ss>","guestId":"windows8","healthStatus":"CRITICAL","
service":
{"id":00000},"vmId":"1","guestAgentStatus":"Disconnec
ted","guestName":"Microsoft
Windows","guestStatus":"POWERED_OFF","name":"<name>",
"hostName":"<Hostname>"},"violatingProcess":
{"processReputationProfile":null,"fullPathName":"Syst
em","<System>":"<System>","process256Hash":"100000000
00000000000000000000000000000000000000000000000000000
00","processMd5Hash":"1000000000000000000000000000000
0"},"subRuleViolated":null,"ruleViolated":"INBOUND_CO
NNECTION"}

아웃바운드 연결 규칙 위반

방화벽 거부

{"id":10101001,"createdAt":1512009263.495000000,"reme
diation":
{"id":1551519},"severity":"CRITICAL","lastReceivedAt"
:1516224258.818000000,"count":00001,"status":"UNRESOL
VED","violationDetails":
{"processHashSHA256":"0000000000000000000000000000000
000000000000000000000000000000","processHash":"000000
0000000000000000000000000","cli":"C:\
\<path>,"alert":"OUTBOUND_CONNECTION_RULES_VIOLATION"
,"localAddress":"192.0.2.0","remotePort":"24","ipProt
ocol":"udp","preEstablishedConnection":"FALSE","remot
eAddress":"0000::0:0"},"violatingVirtualMachine":
{"id":101010,"vmToolsStatus":"TOOLS_NOT_RUNNING","vce
nterUuid":"11111111-1111-1111-1111-111111111111","vmU
uid":"11111111-1111-1111-1111-111111111111","ipAddres
s":"192.0.2.0","osType":"WINDOWS","vmManageabilitySta
tus":"HOST_MODULE_ENABLED_AND_GUEST_MODULE_MISSING","
guestAgentVersion":"1.0.1.0","macAddress":"<MacAddres
s>","guestId":"windows8","healthStatus":"CRITICAL","s
ervice":
{"id":28486},"vmId":"1","guestAgentStatus":"Disconnec
ted","guestName":"Microsoft
Windows","guestStatus":"POWERED_OFF","name":"<name>",
"hostName":"<host>"},"violatingProcess":
{"processReputationProfile":{"processFileInfo":
{"md5":"000000000000000000000000000000","sha256":"000
00000000000000000000000000000000000000000000000000000
000","container":false,"executable":true,"ssdeep":"10
0:THGFJFJFHJY7y86gHK7GHk7ghjgkghjk","fileSizeBytes":1
,"peFormat":true,"firstSeenName":"<fileName>","sha1":
"000000000000000000000000000000000000","crc32":null},
"peHeaderMetadata":{"companyName":"Microsoft
Corporation","productName":"Microsoft
Windows,"version":null,"originalName":"<host>","descr
iption":"<description>","fileVersion":"192.0.2.0,"cod
ePage":null,"productVersion":"6.3.9600.17415","langua
ge":"English (U.S.)"},"certificate":
{"commonName":"Windows","certificateexinfo":
{"thumbprint":"00000000000000000000000000000000000000
0000000","issuerThumbprint":"000000000000000000000000
000000000","serialNumber":null,"validToDate":14376041
40.000000000,"validFromDate":1398205740.000000000,"pu
blisher":null,"name":null}},"trust":10,"threat":0},"f
ullPathName":"C:\
\<path>","process256Hash":"00000000000000000000000000
0000000000000000000000000000000000","processMd5Hash":
"000000000000000000000000000000000"},"subRuleViolated
":null,"ruleViolated":"OUTBOUND_CONNECTION"}